Préparez-vous
pour le règlement
DORA
Qu'est-ce que le Digital Operational Resilience Act (DORA) ?
Le Digital Operational Resilience Act (DORA) est un règlement de l’UE qui renforce la résilience opérationnelle numérique dans l’ensemble du secteur financier. Il établit un cadre harmonisé pour la gestion des risques liés aux technologies de l’information et de la communication (TIC), la notification des incidents, les tests de résilience, la surveillance par des tiers et la gouvernance.
Le règlement DORA est entrée en vigueur le 17 janvier 2025, et les entités financières soumises au règlement doivent désormais satisfaire à ses exigences.
Qui doit se conformer au règlement DORA ?
Le règlement DORA s'applique à un large éventail d'entités financières opérant dans l'UE, y compris, mais sans s'y limiter :
- Banques et établissements de crédit
- Entreprises d'investissement et gestionnaires d'actifs
- Sociétés d'assurance et de réassurance
- Établissements de paiement et établissements de monnaie électronique
- Infrastructures de marché et plateformes de négociation
- Fournisseurs de services de crypto-actifs et plateformes de crowdfunding
Le règlement DORA a également un impact sur les prestataires de services et les fournisseurs de TIC
Le règlement DORA affecte également les fournisseurs de services TIC tiers, y compris les fournisseurs de logiciels et de services cloud, qui fournissent des services numériques aux entités financières, en particulier lorsqu’ils soutiennent des fonctions critiques ou importantes.
Même les organisations qui ne sont pas elles-mêmes des entités financières peuvent être touchées, car les institutions réglementées sont tenues de gérer et de surveiller la résilience opérationnelle numérique de leurs principaux fournisseurs de TIC.
Ce qu'exige le règlement DORA
En vertu du règlement DORA, les entités concernées doivent mettre en œuvre des pratiques rigoureuses et documentées dans plusieurs domaines clés. Il s’agit généralement des domaines suivants :
Les organisations doivent mettre en place un cadre documenté pour l’identification, l’évaluation, l’atténuation et le suivi des risques liés aux TIC, avec un contrôle clair de la gouvernance.
Conformité, clarté et contrôle
La mise en œuvre du règlement DORA arrive à point nommé, car la dépendance croissante des institutions financières à l’égard des technologies numériques et des fournisseurs externes de TIC a accru les vulnérabilités opérationnelles, tandis que les incidents cybernétiques et TIC signalés ont pratiquement doublé au cours des dernières années.
Les cyberincidents ciblant le secteur financier européen ont été publiquement signalés et analysés entre début 2023 et mi-2024, près de la moitié d'entre eux affectant des banques.
Les pertes annuelles liées aux cyberincidents dans le secteur financier sont passées d'environ 300 millions de dollars en 2017 à quelque 2,2 milliards de dollars en 2021.
Plus de 2 200 cyberattaques sont perpétrées chaque jour dans le monde, soit environ une attaque toutes les 39 secondes.
Le défi pour les entités financières et les fournisseurs de technologie
Répondre aux exigences du règlement DORA peut s'avérer difficile, en particulier pour les organisations qui ne disposent pas d'équipes dédiées au risque opérationnel ou à la conformité. Les défis les plus courants sont les suivants :
- Absence d'équipe dédiée à la conformité ou à la sécurité
- Peu de temps pour comprendre les exigences légales en détail
- Documents éparpillés et responsabilités mal définies
- Suivi et gestion des risques liés aux fournisseurs tiers de TIC
- Mise en œuvre de processus cohérents de signalement des incidents
- Maintien d'une gouvernance et d'une documentation satisfaisantes pour les superviseurs
- La non-conformité peut entraîner des sanctions financières, une intervention réglementaire et une atteinte à la réputation
Assurez la conformité DORA avec Trustlinks
Trustlinks traduit la complexité des exigences DORA en actions pratiques et guidées que votre équipe peut suivre :
Commencez par une configuration claire, structurée et intuitive, conforme aux exigences du règlement DORA, comprenant des contrôles prédéfinis, des modèles de politique et des conseils en matière de documentation.
Cela permet à votre entreprise de se lancer rapidement sans avoir besoin d’une expertise approfondie en matière de conformité. Pas besoin de deviner : tout est présenté de manière claire et logique, afin que votre équipe sache exactement par où commencer.
Préparez-vous pour le règlement DORA
Si vous avez des questions sur Trustlinks ou si vous souhaitez découvrir comment notre plateforme peut vous aider dans votre travail de conformité, contactez-nous et notre équipe se fera un plaisir de vous aider.
Questions fréquemment posées sur la conformité au règlement DORA
Qu'est-ce que le Digital Operational Resilience Act (DORA) ?
Le Digital Operational Resilience Act (DORA) est un règlement de l’Union européenne qui renforce la manière dont les entités financières gèrent les risques liés aux technologies de l’information et de la communication (TIC), réagissent aux incidents et garantissent la résilience opérationnelle numérique dans l’ensemble du secteur financier.
Qui doit se conformer au règlement DORA ?
Le règlement DORA s’applique à un large éventail d’entités financières de l’UE, notamment les banques, les assureurs, les entreprises d’investissement, les établissements de paiement et les prestataires de services liés aux crypto-actifs. Il concerne également les prestataires de services TIC qui assurent des fonctions critiques ou importantes.
Quand le règlement DORA s'applique-t-il ?
Le règlement DORA est devenu pleinement applicable le 17 janvier 2025. À partir de cette date, les entités financières couvertes doivent satisfaire aux exigences du règlement et être en mesure de démontrer qu’elles s’y conforment.
Quelles sont les principales exigences du règlement DORA ?
Le règlement DORA impose aux organisations de mettre en place des cadres de gestion des risques informatiques, des processus de signalement des incidents, des tests de résilience opérationnelle numérique, une gestion des risques informatiques liés aux tiers, ainsi qu’une gouvernance et une surveillance rigoureuses.
Quel est l'impact du règlement DORA sur les prestataires et fournisseurs de services TIC ?
Même s’ils ne sont pas des entités financières, les prestataires de services informatiques peuvent être concernés, car les institutions réglementées doivent évaluer, surveiller et gérer la résilience numérique de leurs principaux partenaires technologiques.
Existe-t-il des sanctions en cas de non-respect du règlement DORA ?
Oui. Le non-respect du règlement DORA peut entraîner des mesures de surveillance, des mesures correctives et des sanctions financières en vertu des cadres d’application nationaux et européens.
Comment Trustlinks peut-il vous aider à vous conformer au règlement DORA ?
Trustlinks aide les organisations à structurer les exigences du règlement DORA en flux de travail guidés, à gérer les risques informatiques et la supervision des tiers, à tenir à jour la documentation et à générer des rapports clairs et prêts pour l’audit.
